Cách thiết lập và giám sát kiểm soát nội bộ để đảm bảo tuân thủ

Thực tiễn tốt nhất để thiết lập một khung kiểm soát nội bộ và triển khai thực tế với phần mềm chuyên dụng.

Thuật ngữ “kiểm soát,” ban đầu được sử dụng trong lĩnh vực GRC (Quản trị, Rủi ro, Tuân thủ) để mô tả các cơ chế quản lý rủi ro và đảm bảo tuân thủ, hiện đang được áp dụng rộng rãi hơn trong hoạch định chiến lược.

Infographic: Thực hiện 5 yếu tố cốt lõi của kiểm soát nội bộ cho GRC

Trong bài viết này, chúng tôi sẽ chia sẻ các thực tiễn tốt nhất để thiết lập kiểm soátsử dụng thực tế.

Giới thiệu về kiểm soát nội bộ

Về bản chất, một “kiểm soát” là một cơ chế ứng phó hoặc phòng ngừa được sử dụng để quản lý rủi ro và bảo đảm tuân thủ.

Ví dụ về kiểm soát: “Nhân viên đã rời công ty

  • Kế hoạch Hành động: Chuyển hướng email
  • Kế hoạch Hành động: Thông báo cho khách hàng
  • Chỉ số hiệu quả: Vô hiệu hóa đăng nhập [Evidence-Driven]
  • Chỉ số hiệu quả: % khách hàng đã được thông báo
  • Rủi ro: Gián đoạn Luồng công việc
Policy and Control Implementation in Strategic Planning

Các thành phần của Kiểm soát

Kiểm soát có các thành phần cụ thể:

Ví dụ thực hiện

Từ khía cạnh tự động hóa, một kiểm soát có thể là:

  • Đơn giản như một kế hoạch hành động với các chỉ số tiến độ liên kết hoặc
  • Phức tạp như một tập hợp các kiểm soát và kiểm soát phụ theo thứ bậc, mỗi cái có bộ chỉ số riêng, ước tính rủi ro, kế hoạch giảm thiểu, phụ thuộc ngữ cảnh và người phụ trách.

Kiểm soát có các khu vực ứng dụng cụ thể, xác định khi nào nên kích hoạt các kiểm soát nhất định.

Hãy khám phá các công cụ chúng ta có thể sử dụng để thực hiện kiểm soát trong lập kế hoạch chiến lược.

1. Định nghĩa về Kiểm soát

Ở giai đoạn ban đầu, mục tiêu của chúng tôi là lập bản đồ chính xác các kinh nghiệm quản lý trong quá khứ thành các biện pháp kiểm soát hoặc cơ chế phản ứng chính thức.

Thuộc tính chung

Những yếu tố cơ bản để xác định một kiểm soát bao gồm đặt cho nó một tên có ý nghĩa và giải thích mục đích trong phần mô tả. Xác định:

  • Điều kiện kích hoạt kiểm soát,
  • Phạm vi của kiểm soát.
Ví dụ triển khai

Trong BSC Designer:

  1. Sử dụng nút Thêm để tạo mục mới.
  2. Xác định kiểm soát thông qua các trường tên và mô tả.
  3. Liên kết kiểm soát với các mục tiêu, sự kiện hoặc yêu cầu pháp lý liên quan trước đây.
Cách mô tả mục tiêu và chỉ số trong một thẻ điểm
Strategy Cascading or Alignment on Practical Level

Tài liệu hỗ trợ

Các kiểm soát phức tạp hơn yêu cầu tài liệu hỗ trợ, chẳng hạn như chính sáchquy trình. Liên kết tới các tài liệu liên quan hoặc tải chúng lên kiểm soát.
Ví dụ triển khai

Trong BSC Designer:

  • Thêm tài liệu vào một kiểm soát thông qua hộp thoại Mô tả.
  • Thêm tài liệu vào kế hoạch Hành động của kiểm soát thông qua hộp thoại Sáng kiến.
Cách mô tả mục tiêu và chỉ số trong một thẻ điểm

Thuộc tính tùy chỉnh

Các tổ chức tuân theo các tiêu chuẩn riêng về định nghĩa kiểm soát, bao gồm các thuộc tính cụ thể cho kiểm soát hoặc các kế hoạch hành động liên quan.
Ví dụ triển khai

Trong BSC Designer:

  • Định nghĩa các thuộc tính cần thiết của kiểm soát thông qua trường tùy chỉnh.
  • Các trường mới này sẽ khả dụng cho kiểm soát, chỉ số và sáng kiến.
Cách xác định các trường tùy chỉnh cho một KPI hoặc Sáng kiến trên Thẻ điểm

Quyền sở hữu

Hầu hết các kiểm soát đều yêu cầu một mức độ can thiệp của con người. Ngay cả khi một kiểm soát được thiết lập để chạy tự động, việc giám sát vẫn là điều cần thiết.
Ví dụ triển khai

Ví dụ, các kiểm soát tính bảo trì của phần mềm có thể tự động hóa việc cập nhật, nhưng một chuyên gia CNTT vẫn cần thiết để giải quyết xung đột nếu việc cập nhật thất bại. Trong BSC Designer:

  1. Thêm người chịu trách nhiệm cho kiểm soát dưới dạng người dùng; chỉ định người đó vào một nhóm.
  2. Chỉ định người hoặc nhóm làm phụ trách kiểm soát thông qua trường Phụ trách.

Phụ trách sẽ nhận được thông báo liên quan đến kiểm soát.

Giao Phụ trách cho Mục tiêu, Các KPI và Sáng kiến để Đảm bảo Trách nhiệm

Chứng nhận / Phê duyệt

Để hoàn thành việc định nghĩa một kiểm soát hoặc chỉ số, có thể cần chứng nhận hoặc phê duyệt chính thức. Ban quản lý xác nhận rằng kiểm soát nội bộ tuân thủ các yêu cầu về quy định và nội bộ.
Ví dụ triển khai

Trong BSC Designer:

  • Sử dụng trường tùy chỉnh để xác định các thuộc tính của kiểm soát như “Trạng thái chứng nhận” và “Được chứng nhận bởi.”
  • Khi xác nhận các kiểm soát, đội ngũ quản lý có thể cập nhật các thuộc tính này.
  • Sử dụng bộ lọc trong báo cáo để xác định các kiểm soát chưa được chứng nhận đúng cách.
Cách xác định các trường tùy chỉnh cho một KPI hoặc Sáng kiến trên Thẻ điểm

Để vô hiệu hóa kiểm soát chưa được chứng nhận nhưng vẫn giữ trong thẻ điểm:

  1. Chọn một kiểm soát.
  2. Chuyển sang tab Hiệu suất.
  3. Kích hoạt hộp kiểm Chỉ số dữ liệu thô.

Liên kết các kiểm soát

Các kiểm soát không tồn tại riêng lẻ. Thiết lập các liên kết ngữ cảnh cần thiết giữa các kiểm soát, mục tiêu, rủi ro và sự kiện khác nhau. Như đã thảo luận trong Hệ thống Triển khai Chiến lược, các kiểm soát được thực hiện trong chiến lược thông qua các thẻ điểm chức năng.
Ví dụ triển khai

Trong BSC Designer:

  • Sao chép và dán các mục giữa các thẻ điểm.
  • Khi được nhắc, hãy sử dụng tùy chọn liên kết theo ngữ cảnh để liên kết hai mục.
Strategy Cascading or Alignment on Practical Level

Danh mục Kiểm soát

Đối với các kiểm soát lặp đi lặp lại, hãy tạo một thư viện kiểm soát. Trong trường hợp xảy ra một sự kiện nào đó, bạn có thể dễ dàng triển khai một kiểm soát bằng cách sao chép từ thư viện. Để giữ cho việc triển khai các kiểm soát được đồng bộ hóa với mẫu đã định trước, hãy sử dụng chức năng đồng bộ hóa có sẵn trên nền tảng.
Ví dụ về Triển khai

Trong BSC Designer:

  1. Tạo một thẻ điểm dành riêng cho kiểm soát.
  2. Sử dụng cấu trúc phân cấp để tổ chức các kiểm soát.
  3. Khi cần, sao chép kiểm soát vào thẻ điểm đang hoạt động.
Automating Internal Controls with Functional Scorecards

2. Định lượng các Kiểm soát

Chỉ số hiệu quả

Sử dụng các chỉ số cho các biện pháp kiểm soát làm cho biện pháp kiểm soát trở nên cụ thể hơn và tránh các diễn giải khác nhau. Định nghĩa các chỉ số để theo dõi:

  • Sự tuân thủ các tiêu chuẩn
  • Hiệu quả của biện pháp kiểm soát
  • Tiến độ của các kế hoạch hành động
Ví dụ thực hiện

Ví dụ, trong báo cáo sự cố:

  • Chỉ số hiệu suất có thể là “% nhân sự được đào tạo báo cáo sự cố.”
  • Chỉ số hiệu quả có thể là “% sự cố không được thông báo đúng cách.”

Trong BSC Designer:

  • Sử dụng nút Thêm để thêm các chỉ số vào mục Kiểm soát.

Hiệu suất tổng thể

Khi các chỉ số hiệu quả được xác định cho việc kiểm soát, tổng hiệu quả của việc áp dụng kiểm soát có thể được tính toán bằng cách sử dụng trung bình trọng số của hiệu suất các chỉ số cá nhân.
Ví dụ triển khai

Trong BSC Designer:

  1. Chọn một chỉ số
  2. Chuyển sang tab Hiệu suất
  3. Thay đổi trọng số của chỉ số

Hiệu suất/tiến độ của việc kiểm soát sẽ được hiển thị trong cột tương ứng.

Creating an Index Indicator with Weighted Metrics

Các chỉ số hiệu suất

Tùy theo ngữ cảnh, hãy sử dụng chỉ số dẫn dắt. Khác với chỉ số trễ, chỉ số dẫn dắt sẽ không đóng góp trực tiếp vào tổng thể hiệu suất của kiểm soát, nhưng sẽ gợi ý các thông tin giá trị trong việc hiểu rõ hiệu quả của kiểm soát.

Ví dụ triển khai

Trong BSC Designer:

  1. Chọn một chỉ số
  2. Chuyển sang Ngữ cảnh
  3. Thay đổi loại của chỉ số thành Chỉ số dẫn dắt
Chỉ số dẫn dắt và Chỉ số trễ trong BSC Designer

Ước tính rủi ro

Một kiểm soát có thể bao gồm định nghĩa rủi ro hoặc được liên kết với rủi ro từ danh mục rủi ro.

Ước tính rủi ro có thể là:

  • Một yếu tố kích hoạt thực hiện kiểm soát hoặc
  • Một điều kiện để lựa chọn một hướng hành động nhất định.
Ví dụ triển khai

Trong BSC Designer:

  1. Tạo mới chỉ số
  2. Thay đổi loại của nó thành ‘Rủi ro’
  3. Cập nhật các chỉ số Xác suất và Mức độ tác động của rủi ro
Các bước để thêm một rủi ro vào một mục tiêu trong BSC Designer

Kiểm soát nhị phân

Các trạng thái có thể có của chỉ số nhị phân:

  • Chưa gán – phần kiểm soát chưa được thực hiện
  • – để chỉ ra rằng phần kiểm soát đã được thực hiện thành công
  • Không – để chỉ ra rằng phần kiểm soát không được thực hiện thành công
Ví dụ triển khai

Ví dụ: “Kế hoạch liên tục doanh nghiệp được cập nhật để tính đến một mối đe dọa mới được xác định” có thể được tự động hóa với một chỉ số nhị phân. Trong BSC Designer:

  1. Chọn một chỉ số
  2. Chuyển sang tab ‘Chung’
  3. Thay đổi đơn vị đo lường của nó thành “Có/Không”
Binary Indicators: An Example of Usage for Internal Controls

Kiểm soát định tính

Các chỉ số định tính được sử dụng cho việc kiểm soát khi chưa phát triển ước lượng định lượng cụ thể hơn hoặc việc phát triển đó không hiệu quả về chi phí.

Ví dụ triển khai

Ví dụ: một kiểm soát Quản lý và Truyền thông Chính sách có thể được đánh giá bằng một chỉ số định tính Hiệu quả của Truyền thông Chính sách Tuân thủ với các trạng thái có thể:

  • Rất hiệu quả (100): Nhân viên hiểu rõ ràng về các chính sách tuân thủ.
  • Hiệu quả vừa phải (60): Một số nhân viên hiểu các chính sách.
  • Không hiệu quả (10): Nhân viên thường không biết về chính sách.

Trong BSC Designer:

  1. Chọn một chỉ số
  2. Nhấn nút Chỉnh sửa bên cạnh các đơn vị đo lường để thêm các đơn vị đo lường tùy chỉnh
Using Qualitative and Quantitative Measurement Units on Scorecards

Kiểm soát định lượng

Để làm cho các kiểm soát cụ thể hơn, các chỉ số định lượng hoặc chỉ số số được sử dụng. Đối với các chỉ số định lượng, chúng ta có thể xác định công thức hiệu suất của chúng, ví dụ, tình trạng hiện tại của một chỉ số ảnh hưởng đến hiệu suất đầu ra như thế nào.

Ví dụ triển khai

Ví dụ: để đánh giá hiệu quả của việc triển khai một kiểm soát cụ thể, chúng tôi thực hiện kiểm toán nội bộ để theo dõi % Tuân thủ Chính sách. Trong trường hợp này, công thức hiệu suất là tối đa hóa tuyến tính, với mục tiêu = 100%. Một ví dụ khác có thể là chỉ số Thời gian trung bình để phát hiện, được cấu hình là tối thiểu hóa tuyến tính với mục tiêu là 24 giờ.

Trong BSC Designer:

  • Chuyển sang tab ‘Hiệu suất’ để xác định hàm hiệu suất.
  • Chuyển sang tab ‘Dữ liệu’ để xác định trạng thái hiện tại, đường cơ sở và mục tiêu của chỉ số.
Practical Use of the Optimization Function for KPIs in BSC Designer

Kiểm soát dựa trên bằng chứng

Chỉ số bằng chứng sẽ thay đổi trạng thái tùy theo số lượng tài liệu/bằng chứng đã tải lên.

Ví dụ triển khai

Ví dụ, kiểm soát kiểm tra sao lưu và phục hồi có thể yêu cầu tải lên kết quả kiểm tra hoặc nhật ký làm bằng chứng cho việc thực hiện kiểm soát thành công.

Trong BSC Designer:

  1. Chọn một chỉ số
  2. Thay đổi đơn vị đo lường thành Bằng chứng
  3. Tải lên tài liệu cho chỉ số để thay đổi trạng thái

3. Sáng kiến cho Kiểm soát

Kế hoạch Hành động

Áp dụng kiểm soát bao gồm việc thực hiện các hành động phòng ngừa hoặc phản hồi cụ thể, tương tự như quản lý dự án cổ điển với ngày đáo hạn, ngân sách, và người phụ trách.
Ví dụ triển khai

Trong BSC Designer:

  • Sử dụng công cụ Sáng kiến để thêm kế hoạch hành động vào các kiểm soát.
  • Liên kết rủi ro và chỉ số hiệu quả với sáng kiến.
  • Phân công một phụ trách cho sáng kiến; người này sẽ nhận thông báo khi trạng thái thay đổi.
How to Add an Initiative to a Goal in Strategic Planning

Theo dõi Kế hoạch Hành động

Việc theo dõi việc thực hiện kế hoạch hành động thường là một phần trong phạm vi kiểm soát. Một trong các chỉ số liên kết với kiểm soát có thể được sử dụng để theo dõi tiến độ của kế hoạch hành động.
Ví dụ triển khai

Trong BSC Designer:

  1. Thêm một sáng kiến mới vào kiểm soát.
  2. Mở hộp thoại sáng kiến.
  3. Chọn KPI tiến độ trong trường ‘KPI liên kết’.
Sử dụng KPI để theo dõi tiến độ của một Sáng kiến

4. Theo dõi kiểm soát theo thời gian

Kiểm soát định kỳ

Một số kiểm soát yêu cầu rà soát định kỳ. Việc rà soát này bao gồm cả cơ chế kiểm soát, cũng như việc áp dụng kiểm soát theo định kỳ. Một số kiểm soát chỉ cần được kích hoạt một lần duy nhất.
Ví dụ triển khai

Ví dụ về rà soát cơ chế kiểm soát:

  • Rà soát danh mục kiểm tra tuân thủ – rà soát hàng năm
  • Lưu giữ kiến thức, % – rà soát hàng quý

Ví dụ về áp dụng kiểm soát theo định kỳ:

  • Quét lỗ hổng bảo mật – rà soát/cập nhật hàng tháng

Ví dụ về kiểm soát thực hiện một lần:

  • Đánh giá rủi ro ban đầu – cập nhật một lần

Trong BSC Designer:

Đảm bảo tính nhất quán dữ liệu với các khoảng thời gian cập nhật

Cập nhật trạng thái kiểm soát

Đối với các kiểm soát định kỳ, hãy cập nhật trạng thái của các chỉ số đã được xác định cho kiểm soát đó.
Ví dụ triển khai

Trong BSC Designer:

  1. Chọn chỉ số của kiểm soát
  2. Chọn ngày trong lịch nội bộ
  3. Chuyển sang tab ‘Dữ liệu’
  4. Nhập trạng thái mới vào trường ‘Giá trị’
Giám sát liên tục các KPI trong BSC Designer

Kế thừa trạng thái của kiểm soát

Một số chỉ số được sử dụng cho kiểm soát sẽ kế thừa trạng thái đã biết trước đó của chúng, trong khi các chỉ số khác chỉ sử dụng các cập nhật được nhập cụ thể.

Ví dụ về triển khai

Ví dụ:

  • % nhân viên được đào tạo – có khả năng là một chỉ số kế thừa, vì chúng ta có thể giả định rằng tỷ lệ nhân viên được đào tạo trong tháng 5 sẽ giữ nguyên hoặc tăng lên trong tháng 6.
  • Doanh thu bán hàng hàng tháng – có khả năng là một chỉ số không kế thừa, vì chúng ta quan tâm đến việc theo dõi dữ liệu bán hàng thực tế qua các tháng.

Trong BSC Designer:

  1. Chọn một chỉ số
  2. Nhấn vào nút Trình chỉnh sửa giá trị
  3. Thay đổi loại kế thừa của chỉ số
Hai tùy chọn để thừa kế trạng thái trước đó của một chỉ số

5. Kiểm soát báo cáo

Kiểm soát trên Bảng

Tạo các biểu diễn trực quan về kiểm soát và trạng thái của chúng. Theo dõi sự phát triển của các chỉ số theo thời gian, trạng thái của rủi ro và các kế hoạch giảm thiểu rủi ro.
Ví dụ triển khai

Trong BSC Designer:

  1. Chuyển sang tab Bảng.
  2. Thêm các biểu đồ liên quan, bao gồm biểu đồ Gantt cho các sáng kiến, sơ đồ rủi ro và các sơ đồ liệt kê kiểm soát cùng trạng thái của chúng.
Thêm biểu đồ vào bảng trong BSC Designer

Kiểm soát cho ước lượng rủi ro

Các chỉ số trễ dùng để định lượng hiệu quả của các kiểm soát có thể được sử dụng để định lượng xác suất hoặc tác động của rủi ro.
Ví dụ triển khai

Trong BSC Designer:

  • Kết nối phần chỉ số trễ của kiểm soát với các chỉ số Mức độ tác động của rủi ro hoặc Ước lượng rủi ro trong sổ đăng ký rủi ro bằng dữ liệu.
Xác định và Đánh giá Rủi ro bằng Hiệu quả của Kiểm soát Nội bộ

Kiểm soát trong báo cáo

Trạng thái của các kiểm soát, cũng như kết quả của việc thực hiện chúng, có thể được báo cáo cho các bên liên quan.
Ví dụ thực hiện

Trong BSC Designer:

  • Sử dụng menu ‘Báo cáo’ để tạo ra các báo cáo khác nhau
  • Sử dụng nút ‘Lịch trình’ trong menu ‘Báo cáo’ để gửi báo cáo đến các bên liên quan một cách tự động
Report the Status of Goals and KPIs to the Stakeholders

Trách nhiệm

Ghi lại kết quả thực hiện của một kiểm soát là quan trọng cho trách nhiệm và học hỏi trong tương lai.
Ví dụ triển khai

Trong BSC Designer:

  • Tất cả các hoạt động liên quan đến thiết kế và thực hiện kiểm soát đều được ghi lại trong nhật ký kiểm toán.
  • Quản trị viên của tài khoản có thể truy cập nhật ký kiểm toán qua Menu > Người dùng > Đường dẫn kiểm toán.
Accountability and Transparency with Audit Trail in Strategic Planning

Ví dụ thực tiễn về việc sử dụng kiểm soát

Hãy cùng thảo luận về một ví dụ thực tiễn. Xem xét kiểm soát được kích hoạt khi một nhân viên rời khỏi công ty.

Cấu trúc ví dụ:
An example of the library of GRC controls

Một ví dụ về cấu trúc thư viện cho các kiểm soát GRC. Nguồn: Xem Thư viện các kiểm soát GRC trực tuyến trong BSC Designer Thư viện các kiểm soát GRC.

Thư viện kiểm soát

Trong thư viện kiểm soát, tôi có một phần HR nơi một trong các kiểm soát là “Nhân viên rời khỏi công ty.”

Kiểm soát này có ba kế hoạch hành động:

  • Chuyển tiếp email.
  • Liên hệ khách hàng.
  • Kế hoạch chuyển giao kiến thức.

Nó cũng có hai chỉ số:

  • Vô hiệu hóa đăng nhập (dựa trên bằng chứng).
  • Tỷ lệ khách hàng được thông báo.

Một chỉ số khác được sử dụng cho việc xem xét định kỳ của các kiểm soát:

  • Giữ lại kiến thức (%)

Một rủi ro được xác định cho kiểm soát này là:

  • Rủi ro: Gián đoạn luồng công việc
  • Kế hoạch giảm thiểu: Tài liệu hóa các chức năng quan trọng

Thẻ điểm sự kiện

Tôi có một thẻ điểm tên là “Sự kiện nhân sự” nơi các sự kiện nhân sự liên quan được ghi lại. Thẻ điểm được tổ chức theo loại sự kiện.

Áp dụng kiểm soát

Đây là các bước cần thực hiện khi một nhân viên rời công ty:

  1. Tạo một sự kiện mới trong thẻ điểm Sự kiện, ví dụ, “Alex rời công ty.”
  2. Sao chép và dán kiểm soát phù hợp từ thư viện kiểm soát vào thẻ điểm Sự kiện.
  3. Người phụ trách kiểm soát sẽ được thông báo tự động về các kế hoạch hành động mới được tạo.
  4. Tải lên bằng chứng (ảnh chụp màn hình) rằng các đăng nhập đã bị vô hiệu hóa.
  5. Thông báo cho khách hàng và cập nhật chỉ số “% khách hàng đã được thông báo”.
  6. Cập nhật trạng thái của các kế hoạch hành động thành “Đang xem xét.”

Chương trình đào tạoPhiên: 'BSC Designer for Automation of GRC Controls' có sẵn như một phần của chương trình học tập liên tục của BSC Designer, được cung cấp dưới dạng hội thảo trực tuyến và tại chỗ. Tìm hiểu thêm....

Các ví dụ khác

Bạn có thể tìm thêm các ví dụ về việc sử dụng các kiểm soát trong các bài viết về:

Sử dụng Mẫu Thư viện kiểm soát GRC

BSC Designer giúp các tổ chức thực hiện chiến lược phức tạp của họ:

  1. Đăng ký gói miễn phí trên nền tảng.
  2. Sử dụng mẫu Scorecard Template Thư viện kiểm soát GRC làm điểm khởi đầu. Bạn sẽ tìm thấy nó trong Mới > Thẻ điểm mới > Nhiều mẫu hơn.
  3. Tuân theo Hệ thống Thực hiện Chiến lược của chúng tôi để liên kết các bên liên quan và tham vọng chiến lược thành một chiến lược toàn diện.

Bắt đầu ngay hôm nay và xem BSC Designer có thể đơn giản hóa việc thực hiện chiến lược của bạn như thế nào!


Cite this article as: Alexis Savkín, "Cách thiết lập và giám sát kiểm soát nội bộ để đảm bảo tuân thủ," in BSC Designer - Phần mềm Thực thi Chiến lược, Tháng 4 19, 2025, https://bscdesigner.com/vi/dieu-khien-grc.htm.

Viết một bình luận